DNS域名服务器的如何建立

DNS服务器是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写，它是由

解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并

具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域

名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它

主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。

工具/原料

Win2003系统\Win2003安装光盘

步骤/方法

1

首先需要做的就是把我们的Win2003安装光盘放进我们电脑的光驱里面，首先要确保的是这张光盘可以正常读盘。

2

现在开始在Win2003系统上搭建DNS服务器，打开开始菜单-选择控制面板，如图所示：

3

打开控制面板之后选择添加或删除程序，用鼠标双击打开，如图所示：

4

在打开添加或删除程序窗口中，选择添加/删除Windows组件，如图所示：

5

选择添加/删除Windows组件之后弹出Windows组件向导对话框，如图所示：

6

选择Windows组件向导对话框中的下拉列表框，选择网络服务选项，然后窗口中的详细信息按钮，如图所示：

7

选择详细信息按钮之后打开网络服务属性窗口，在窗口中打开域名系统（DNS）这一项并勾选，如图所示：

8

勾选之后单击确定按钮回到Windows组件向导窗口，单击下一步按钮，如图所示：

9

单击下一步按钮之后开始执行DNS服务安装，并从光盘复制文件，如图所示：

10

安装完成之后会弹出完成Windows组件向导对话框，说明DNS服务已经成功安装，如图所示：

11

现在看一下管理工具里面有没有DNS服务这个选项，打开开始菜单，选择管理工具，现在可以看到有了DNS服务这个图标了，说明安装成功了。如图所示：

END

注意事项

请确认光盘是Win2003安装版光盘，并可以正常读碟。

问题一：如何组建公司内部局域网 这要看公司信息点多少，要达到什么要求了。

1、组建内网。如果几十台电脑，用二层交换机甚至HUB连在一起，配好IP，就是一个简答的小局域网了。如果数百台以上，为了方便管理，抑制网络风暴，就需要三层交换机划分VLAN。

2、控制计算机上网。现在一般都在防火墙上做设置，这是电脑连接外网的最后一道出口。在防火墙可配置那些IP允许连接外网，那些IP不能。如果公司规模小，没有防火墙，可在路由器上做mac过滤来控制。

3、局域网内部管理，可搭建域服务器来实现管理。

无论是交换机配置，还是防火墙配置，域管理，都有很深的学问在里面，需要刻苦研究。你可以把具体情况和要求说一说，大家研究一下。

问题二：怎样组建小型公司局域网 一，准备8口以上交换机一个（几十元）

二、网线若干（根据你的实地距离来定网线）（几十元吧）

三、猫一个100元左右

四、路由器一台100多一点

接法：

宽带线--猫--路由器（还可以接三台PC）--交换机--PC，

设置：

先确定路由器的IP地址，然后在PC机里的填上IP地址（同一网段的，比如说陆游器的IP地址是192168181那么你们公司网段就要在192畅168182--254之间）PC的网关就是192168181

设置文件共享：

1)安装NWlink IPX/SPX/NetBIOS patible Transport Protocol协议。

（2)开启guest账号：右击我的电脑\管理\用户有个guest，双击之去掉“账户已停用”前面的勾。

（3)右击我的电脑\属性\计算机名，查看该选项卡中出现的局域网工作组名称，如“WORKGROUP”\网络ID\下一步\选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”\下一步\选择“公司使用没有域的网络”\随后输入局域网的工作组名，如“WORKGROUP”\下一步\完成。重新启动计算机即可

（4）使用winxp防火墙的例外：winxp防火墙在默认状态下是全面启用的，这意味着运行计算机的所有网络连接，难于实现网上邻居共享。同时，由于windows防火墙默认状态下是禁止“文件与打印机共享的”，所以，启用了防火墙，往往不能共享打印，解决办法是：进入“本地连接”窗口，点“高级”\“设置”\“例外”\在程序与服务下勾选“文件和打印机共享”。

5)删除“拒绝从网络 问这台计算机”项中的guest账户：运行组策略（gpeditmsc）\本地计算机\计算机配置\windows设置\安全设置\本地策略\用户权利指派\拒绝从网络访问这台计算机。如果其中有guest，则将其删除。（原因是：有时xp的guest是不允许访问共享的）

6)取消“使用简单文件共享”方式：资源管理器\工具\文件夹选项\查看\去掉“使用简单文件共享（推荐）”前面的勾。

7)工作组名称一致。

8)勾选“Microsoft网络的文件和打印机共享”。

9)运行服务策略“Servicesmsc”。启动其中的“Clipbook Server”(文件夹服务器)：这个服务允许你们网络上的其他用户看到你的文件夹。当然有时你可把它改为手动启动，然后再使用其他程序在你的网络上发布信息。

问题三：怎么加入公司的局域网 我理解的意思是，计算机A连接到办公室局域网内，原来的计算机都能共享网络打印机，只有电脑A不能？照你截图的情况，电脑A已经连接到局域网内了，获取到的IP、子网掩码和网关都是没有问题的。但是我觉得你还是应该PING 19216811，看看是否能够PING通网关。如果网关能PING通说明局域网连接没有问题。

在A电脑上点击开始---运行---\\C电脑的IP地址---双击要添加的打印机

问题四：怎么建一个公司的局域网！主要是共享一些文件 楼主的要求比较复杂,很难在这里说清楚,我只提供一个方案,具体措施需要你自己努力了,首先说你的要求并不过分,我们公司比你设计的还要复杂 1,总公司跟分公司互相访问,可以使用vPn功能,该功能可以用软件或者硬件来实现,软件win2003server就带,硬件需要购买,从几百到几万都有,详细资料请上网搜索*** 2,公司部分之间访问问题,简单的就是组建一个局域网，但是如果设置复杂的相互访问权限，不如使用OA办公系统，通过限制不同的登陆用户，来设置他们的访问权限，包括网络硬盘，聊天室，档案柜等。 3，办公网页就是 OA系统，外网单独一个服务器。 4，员工可以在家访问公司内部网，其实就是访问公司的OA系统，可以实现远程办公，这需要把内网的OA服务器映射到外网上面，如果有路由器就需要端口映射，把外部访问路由器的端口，映射到具体那一台电脑上的端口，比如外网80口 对应 19216815 80 口。还有一个必要条件就是员工需要知道公司的IP，可以通过IP访问，也可以申请一个免费域名，把域名指向该IP，但是对于不固定IP得公司就比较麻烦，需要经常更改域名指向，当然也可以使用动态域名系统，比如花生壳等。 5，都上网容易，买一个路由器，组建局域网就可以了，至于每个分公司申请的公网地址不会超过5个不明白你的意思，无法回答。 其实上面5个当中，任何一个都可以讲半天，这里只给你一个抛砖引玉作用，不明白留言，很多知识需要你自己去找答案的，不动手永远不会明白，我们公司202个网络和电话点，一共用了3万多米的网线组建一个局域网，都是我一个人组建和管理的 实现功能跟你提到的差不多,一个内网OA可以外部访问,一个内网聊天室,支持语音,视频,外网可以访问外挂一个网站,内部10个部门局域网，每天不同工作时间段，不同用户可以访问外网，不同用户可以使用不用软件。有邮件服务器，每天针对全国分公司联系，有论坛，属于全国内部员工使用

问题五：公司内部怎么设置局域网 以XP系统为例:

用路由器或交换机(集线器)连接各台电脑,工作组设置相同(系统一般都是默认为workgroup),再设置电脑的IP地址为同一网段(例:路由器的地址为19216811,那么电脑IP设置为19216811~1921681250,网关设置为19216811),在计算机安全策略里开启电脑的GUEST用户访问权限,允许空白密码连接最后开启需要共享的文件夹或者盘符,这样就可哗互相访问了

问题六：如何设置公司局域网 30分 双击“网上邻居”-选择左边“网络任务”下的“设置家庭或小型办公网络”-n个“下一步”之后有个“启用文件共享”的选项，继续“下一步”-创建ing-创建成功-有四个选项，选最后一个 就OK

2台电脑上都要建，工作组要一样，默认的是mshome

测试：网上邻居-查看工作组-发现另一台电脑-成功

如果创建成功后不能联机，把主机的防火墙关了

问题七：怎样设置公司局域网 给有打印机的电脑再安装一块儿网卡，买个路由器或者集线器，

把第二块网卡的网线查到路由器或者集线器的LAN口，

别的电脑跟集线器或者路由器的LAN口链接。

如果买的路由器，请设置DHCP（方便），其他电脑设置成IP自动获取。

我的电脑 属性 更改计算机名称，把工作组都设置成WORKGROUP。

我的电脑 属性 服务 开启WORKSTATION 服务。

搞定。

祝你好运。

问题八：怎么组建这样一个公司局域网 呵呵,都是做广告得啊,楼主的要求比较复杂,很难在这里说清楚,我只提供一个方案,具体措施需要你自己努力了,首先说你的要求并不过分,我们公司比你设计的还要复杂

1,总公司跟分公司互相访问,可以使用vPn功能,该功能可以用软件或者硬件来实现,软件win2003server就带,硬件需要购买,从几百到几万都有,详细资料请上网搜索***

2,公司部分之间访问问题,简单的就是组建一个局域网，但是如果设置复杂的相互访问权限，不如使用OA办公系统，通过限制不同的登陆用户，来设置他们的访问权限，包括网络硬盘，聊天室，档案柜等。

3，办公网页就是 OA系统，外网单独一个服务器。

4，员工可以在家访问公司内部网，其实就是访问公司的OA系统，可以实现远程办公，这需要把内网的OA服务器映射到外网上面，如果有路由器就需要端口映射，把外部访问路由器的端口，映射到具体那一台电脑上的端口，比如外网80口 对应 19216815 80 口。还有一个必要条件就是员工需要知道公司的IP，可以通过IP访问，也可以申请一个免费域名，把域名指向该IP，但是对于不固定IP得公司就比较麻烦，需要经常更改域名指向，当然也可以使用动态域名系统，比如花生壳等。

5，都上网容易，买一个路由器，组建局域网就可以了，至于每个分公司申请的公网地址不会超过5个不明白你的意思，无法回答。

其实上面5个当中，任何一个都可以讲半天，这里只给你一个抛砖引玉作用，不明白留言，很多知识需要你自己去找答案的，不动手永远不会明白，我们公司202个网络和电话点，一共用了3万多米的网线组建一个局域网，都是我一个人组建和管理的

实现功能跟你提到的差不多,一个内网OA可以外部访问,一个内网聊天室,支持语音,视频,外网可以访问外挂一个网站,内部10个部门局域网，每天不同工作时间段，不同用户可以访问外网，不同用户可以使用不用软件。有邮件服务器，每天针对全国分公司联系，有论坛，属于全国内部员工使用。

问题九：我们新公司的局域网怎样搭建 选择一台24 换机，采用无线+有线的方式进行部署会议室部署一台无线AP或者无线路由器即可（网线接无线路由器然后路由改成交换模式）有线的每一台电脑一根网线 网线选用超五类网线即可走线的话可以考虑一下线槽或者天花板

问题十：怎么创建局公司局域网 主要说明你上网的条件，比如说用什么方式上网是用专线还是AD等，是否有路由器，无线路由器，交换机等，原来可以用上网的服务器做代理服务器，不过现在这种方式少了，钉硬件联接比较稳定，服务器可以用来做内网文件服务器和网站服务器等

进入系统，设置好IP，子网，把安装光盘放进光驱（非GHOST版），运行“配置您的服务器”

-->

自定义

或

运行“管理您的服务器”

-->

添加角色到您的服务器，进入“配置您的服务器向导”选“域控制器（Active

Directory）

或

运行命令dcpromo

现在开始配置，下一步

-->

下一步

-->

下一步

-->

新域的域控制器

-->

在新林中的域

-->

输入DNS全名，下一步

-->

输入域NetBIOS映射名，下一步

-->

下一步

-->

下一步

-->

诊断失败”后，选“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”，下一步

-->

“只与Windows

200

或

Windows

Server

2003

操作系统上运行服务器程序，该服务器有是Active

Directory域的成员，请选此选项。”，下一步

-->

输入“目录服务还原密码”，记住这个密码，很重要，还原域是用，下一步

-->

下一步就开始配置了。

配置好后，设置服务器DNS为服务器IP（默认是127001），待加入域的计算机的首选DNS要是域控制器IP。

如果要上网，设置服务器DNS服务地址解析转发到省DNS解析服务器。

我是用我的2003企业版服务器一步一步装出来给你写的，写的好辛苦啊，搞的我系统都成域控制器了

推荐你使用windows2003搭建域名服务器

Internet上的域名服务，由分布在世界各地的众多的域名服务器提供。域名服务的理解，牵涉到DNS网络体系结构、分布式数据库等理论知识，在此不做过多的阐述。笔者仅以实例介绍内部网络中域名服务器的建立方法。 笔者假设您要在内部网络中提供以下服务器的域名解析： WWW 服务器1： www1mydomcomcn 1921680150 WWW 服务器2： www2mydomcomcn 1921680151 FTP 服务器1： ftp-Server1comcn 1921680250 FTP 服务器2： ftp-Server2comcn 1921680251 Email服务器： mailmysvrcomcn 1921680253 域名服务器： dnscomcn 1921680100 实现域名解析的软件安装与配置 本例中，假设NT Server的主机名为：“MYSERVER”，IP 地址为：“1921680100”。 1安装和启动“DNS Service”服务：打开“控制面版”，双击“网络”图标，进入网络设置界面。选择“服务”标签，单击“添加”按纽，选择“Microsoft DNS服务器”后，按“确定”按纽。安装程序拷贝一些必需的文件后，回到网络设置界面。 这时，按“确定”按纽，安装程序会自动进行一番设置，然后要求重新启动机器。机器重新启动后，在“开始/程序/管理工具(公用)”选单下会出现“DNS 服务器”选单项。这时再打开“控制面版/服务”，应能看到“Microsoft DNS Server”服务已经启动(如果没有启动，可以手工启动)。

2域名服务器配置：执行“开始/程序/管理工具(公用)/DNS服务器”，出现“域名服务管理器”操作界面。进行域名服务器的创建和分级域名的建立，最后设置主机域名对应的 IP 地址。 1）建立DNS服务器名：选择域名服务管理器窗口左侧的“服务器清单”，点击鼠标右键，执行弹出选单的“新建服务器”命令，弹出“添加DNS服务器”窗口，在文本框中输入DNS服务器即NT Server的主机名或IP地址，并确定。本例中假设输IP地址为：“1921680100”。这时，新建的DNS服务器名“1921680100”就出现在 DNS 服务器清单中。 2）建立反向查询区域：反向查询区域存放反向域名解析必需的记录信息，提供给一些需要进行反向域名解析的应用。最好先建立“反向查询区域”，然后再建立“区域”，这样会给添加记录带来很大的方便。 选择刚刚新建的DNS服务器名，单击右键，执行弹出选单中的“新建区域”命令，出现“为1921680100创建新区域”窗口。区域类型选“主要”，点击“下一步”；在区域信息的“区域名”文本框中反向输入“www1mydomcomcn 1921680150”所对应的IP地址，并在后面再加上“in-addrarpa”，即为：“1500168192in-addrarpa”；再点击“区域文件”文本框，该文本框中会自动出现“1500168192in-addrarpadns”的内容；左键单击“下一步”，再单击“完成”。这样，“www1mydomcomcn 1921680150”对应的反向查询区域“1500168192in-addrarpa”就建立好了。 同理建立其他几个待解析项的反向查询区域，即： 1510168192in-addrarpa 2500168192in-addrarpa 2510168192in-addrarpa 2530168192in-addrarpa 1000168192in-addrarpa 3）建立区域“comcn”：仿照上一步，建立“comcn”区域。区域类型同样选“主要”，而“区域名”中填入“comcn”。这样，区域“comcn”也建好了。 4）建立区域“comcn”的子域 mydom 和 mysvr：点选 comcn 域名，右键单击,执行弹出选单的“新建域”，在窗口的文本框中分别输入域名“mydom”和“mysvr”，单击“确定”按钮确认。 5）建立各服务器主机与其 IP 地址的对应关系：这是建立域名服务器的实质性阶段，将会在域名服务数据库中生成 A 类型(主机地址)记录。 建立www1mydomcomcn 和 www2mydomcomcn的记录：点选 mydom 域名，右键单击,执行弹出选单的“新建主机”命令，在弹出窗口的“主机名”和“主机IP 地址”文本框中分别输入“www1”和 IP 地址“1921680150”，按“添加主机”按扭，即建立了主机www1mydomcomcn 的记录。类似可建立主机 www2mydomcomcn 的记录。 建立ftp-Server1comcn、ftp-Server2comcn和dnscomcn的记录：点选 comcn 域名，右键单击,执行弹出选单的“新建主机”命令，在弹出窗口的“主机名”和“主机IP 地址”文本框中分别输入“ftp-Server1”和 IP 地址“1921680250”，即建立了主机ftp-Server1comcn 的记录。类似可建立主机 ftp-Server2comcn 和 dnscomcn 的记录。 建立mailmysvrcomcn的记录：点选 mysvr 域名，右键单击,执行弹出选单的“新建主机”命令，在弹出窗口的“主机名”和“主机IP地址”文本框中分别输入“mail”和 IP 地址“1921680253”，即可建立主机 mailmysvrcomcn。 注意，在以上各过程中，“新建主机”对话窗口底部的“创建关联的 PTR记录”复选框一定要钩选上!这一点保证了其反向查询记录的同步创建(分别存放在22步建立的对应的反向查询区域中)。 正确的测试方法与技巧 可以在“命令提示符”窗口中，应用 Pingexe 命令或域名服务器的专用测试命令 Nslookupexe 测试 DNS 服务器的运行情况。 在域名服务器主机上运行 nslookup 命令，格式： nslookup [域名/IP地址] 该命令可查询出对应的 IP 地址或域名，如执行 nslookup www1mydomcomcn,显示如下信息： Server: dnscomcn Address: 1921680100 Name: www1mydomcomcn Address: 1921680150 上面最后两行表明域名 www1mydomcomcn 对应的 IP 地址是1921680150(前两行表示默认的 DNS 服务器为dnscomcn)。再执行“nslookup 1921680150”命令会显示如上同样的信息，就表明也能正确进行反向域名解析。 在内部网中选一台能与新建的DNS服务器Ping通的工作站(运行Windows 9x/NT)。配置其网络 TCP/IP协议属性，使其启用DNS解析，并在 DNS服务器列表中添加DNS服务器 IP地址:1921680100。启动机器后，执行Ping 命令： Ping www1mydomcomcn 将显示如下信息： Pinging www1mydomcomcn [1921680150] with 32 bytes of data: Reply from 1921680150: bytes=32 time<10ms TTL=128 (省略) 如果上面步骤一切顺利，那么表明WWW服务器——www1mydomcomcn的域名解析正确，如果该 WWW 服务器的Web 服务已经正确安装和配置，那么在浏览器的地址栏输入“www1mydomcomcn”,就应当能看到发布的主页。 Ping命令测试方法也可以在DNS服务器上进行，同样，其TCP/IP属性中也应当启用和配置DNS项，这时，该 DNS 服务器兼任服务器和工作站两个职能。 经过以上配置，您的内部网中就有了一台不错的DNS服务器。当然，如果考虑到可靠性和实用性，那么您应当同时安装主 DNS 服务器和 从DNS 服务器，并配置让它们进行动态的域传输，定时交换数据库信息。用两台 DNS 服务器同时可达到平衡负载的目的。

    1 Windows+R运行，输入control打开控制面板，类别->启动或关闭Windows功能->服务器管理器。

    2 添加角色和功能

   3 开始之前

    4 安装类型

    5 服务器选择

    6 服务器角色，勾选Active Directory域服务

    7 功能。NET Framework35/45 都安装即可。

    8 AD DS

    9 确认

    10 结果

    1 将服务器升级为域控制器

    2 部署配置，添加新林，输入自定义根域名。

    3 域控制器选项

    4 DNS选项，忽略提示。

    5 其他选项，确认自定义NetBIOS域名。

    6 选择文件路径

    7 查看选项

    8 先决条件检查

        错误提示解决方案：

                (1) 设置administrator用户密码。

                (2) 以管理员身份运行 Windows PowerShell，输入 net user administrator /passwordreq:yes

            (3) 重新检查先决条件，先点击“查看路径”，再点击“先决条件检查”。

    9 结果

安装完成后服务器重启，即可登录到域。

1 将主机DNS设置为域服务器IP地址

   2 我的电脑->右键->属性->高级系统设置->计算机名->更改->隶属于域->输入域名

    3 根据提示重启主机即可。

第一步：打开服务器管理器面板。

第二步：添加角色和功能。

第三步：安装类型当然是选择基于角色或基于功能的安装

第四步：当然是选择从”服务器池中选择服务器“，选择本机，下一步。

第五步：选择要安装的服务器角色字太多。

第六步：功能选项默认就行。

第七步：直接下一步。

第八步：直接下一步。

第九步：确认，安装。

第十步：等待安装，要目不转睛。

第十一步：安装完成开始配置域。。

第十二步：配置域信息：选择”将此服务器提升为域控制器“

第十三步：添加新林，建议取一个好听的名字

第十四步：一直下一步，输入密码

第十五步：安装，安装完毕后会自动重启。

第十六步：安装完毕。

域的管理和设置

打个比方，如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行嘤Φ纳柚茫�颜馓ǖ缒约尤氲接蛑小U庋�拍苁迪治募�墓蚕怼

1． 服务器端设置

以系统管理员身份在已经设置好Active Directory（活动目录）的Windows 2000 Server上登录，选择“开始”菜单中“程序”选项中的“管理工具”，然后再选择“Active Directory用户和计算机”，之后在程序界面中右击“Computers”，在弹出的菜单中单击“新建”，然后选择“计算机”，之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文，中文计算机名可能会引起一些问题。

2． 客户端设置

首先要确认计算机名称是否正确，然后在桌面“网上邻居”上右击鼠标，点击“属性”出现网络属性设置窗口，确认“主网络登录”为“Microsoft网络用户”。选中窗口上方的“Microsoft网络用户”（如果没有此项，说明没有安装，点击“添加”安装“Microsoft网络用户”选项）。点击“属性”按钮，出现“Microsoft网络用户属性”对话框，选中“登录到Windows NT域”复选框，在“Windows NT域”中输入要登录的域名即可。这时，如果是Windows 98操作系统的话，系统会提示需要重新启动计算机，重新启动计算机之后，会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后，就可以使用Windows 2000 Server域中的资源了。请注意，这里的域用户账号和密码，必须是网络管理员为用户建的那个账号和密码，而不是由本机用户自己创建的账号和密码。如果没有将计算机加入到域中，或者登录的域名、用户名、密码有一项不正确，都会出现错误信息。

10、xp可以当服务器建立活动目录吗？

xp可以做服务器，但是微软限制了并发连接只有10个

不能升级AD

11、Group里面是对等的,没有server或client的概念应该

domain里面好像除了域服务器外,其它的机器也是对等的

哪位老大能通俗易懂地讲讲Win2k中的“域”的概念？

1、域的英文是domain，按照字典的翻译，这个词的解释应该是：

do·main / A doU`meIn / B noun [count]

1 a particular area of activity or life:

This is a subject that has now moved into the political domain

1a an area of activity considered as belonging to or controlled by a particular person or group:

the common idea that engineering is a male domain

Organic foods are no longer the sole domain of health fanatics

The garden has always been Al’s domain

—> PUBLIC DOMAIN1

2 LITERARY an area of land owned and controlled by a particular person, especially in the past

3 TECHNICAL in mathematics, a range of possible values of a VARIABLE

4 COMPUTING a DOMAIN NAME

在M$的操作系统中，我们可以理解域为一个社区，服务器相当于社区的会所，域中的主机相当于私人住宅，域管理员相当于社区的管理员，用户则相当于居民。

在社区中兴建一个住宅需要管理员的许可，你的主机要加入域也需要域管理员的同意。

社区的会所只对社区用户开放，你要访问服务器，就得有ID。

私人住宅的主人有自己住宅的管理权，当然，主人如果大方，也可以把自己的住宅开放给别人用，也有出租房屋的，大家一起用，这就是多用户共享一台主机。

社区可以按照管理的方式，分为封闭管理和开放管理，封闭管理就是拒绝所有的陌生人，也有竖起篱笆墙什么的防止小偷小摸的，这就是防火墙。

两个社区可以搞联谊，双方共享资源，这就是域的互信协议，在这个协议下，两个社区的用户可以适当的访问别的社区资源。

2、嗯，刚才看有XD问工作组，这里我也白话白话。

工作组有点像北京公园里老头老太太们占山头练京剧。

今天这一堆人围一个山头开始唱京剧，旁边一堆人围了一个山头唱合唱。这些都是自发的，通常情况下大家也都守规矩，各自占各自的地盘，互不打扰。这就是工作组。

但这个区域是开放的，来去自由。随便哪个过客路过也能加入其中瞄一瞄，唱两句。所以常见到一个工作组里面有一堆人不认识的，时不时还有人自发捐出点歌谱、行头啥的，随便用。这就是工作组间的共享。

要是碰上那些不守规矩的，跑到唱歌的那边唱大戏，大家也没辙，实在不行了，撤摊换一个工作组名称重新圈块地儿。

当然也有公家（domain）占地赶的工作组四处跑的

有一天工作组里的老头老太太们混的有一定规模了，成立一个协会啥的，有了正式的管理员，有了固定的地盘，就升级成域了。

3、域其实就是一个安全的边界。它的存在主要是便于管理大型的网络的，可以进行统一的管理，such as统一发布组策略，同意安装某种软件等等，并且域中的用户在登陆的时候，身份验证的过程是在域控制器上完成的。

而工作组呢，只适应于小型的网络。如果电脑比较多的话，那么工作组管理起来就极为不方便。因为每台电脑上面都有自己的安全账户数据库，所以身份验证过程必须在本地进行，如果你要是想登陆工作组中其他的电脑上面，你必须在那台电脑上面有你的用户账户才行。

4、但是同一个域的用户可以拿自己的帐户打开别人的机器（别人的机器没有开机密码的情况下），只有用自己的帐户登陆域即可，好像不太安全！

这个不是域的错，是主机用户的错，主机用户这么大方，夜不闭户的，别人进取转转也没什么不妥吧

不想让别人访问，在本机的用户组中把域用户删除就行了

5、不好意思，这篇文章有点误导的嫌疑

关于MS中域的理解：我们知道，2000/XP和98的一个明显不同是引入了多用户机制，把主机比喻为私人住宅可以，那么各个用户名id和密码就相当于进入这个房间的钥匙，但是这——不是域的概念。我们想象一下，一个学校机房供全校学生使用，计算机是公用的，那么每个机器都要给每个学生设立帐号是一件令人疯狂的工作，如果一个新学生来了，我要给他在每台电脑上开新帐号，如果他要走了，我又要挨个机器每台去删。这时域的观念就引入了。一个域的服务器主要功能就是负责域帐号的管理，这个域帐号在域内所有的计算机上都是通用的，也就是说，社区管理员只需要设立服务器上的用户和密码，该用户就可以自由使用社区内的所有资源。看到差别了么？”私人住宅的主人有自己住宅的管理权“这个观点不是完全正确的，一旦你把自己的房间登入了社区，社区的所有用户就可以自由访问你的房间了，当然你可以把房间断开，不登入社区，这样才对自己住宅有完全的管理权，一旦登入了域，就要看域服务器上管理员是如何设置域策略的，设置的严格的话，你几乎不能对你的私人住宅做任何管理，因为域策略是大于本机策略的。

首先，打开“服务器管理器”，点击“添加功能和角色”。

2

进入“添加角色和功能向导”，检查到静态IP地址（为192168100100）已配置完成，管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略，点击“下一步”。

3

我们在本地运行的物理计算机上安装，故安装类型选择第一项“基于角色或基于功能的安装”。

4

服务器选择服务器池中的本地服务器“dc”。

5

服务器角色中确保已安装了“DNS服务器”，如果没有安装将“DNS服务器”勾选上。然后勾选上“Active Directory域服务”，同时也在该服务器上安装域服务管理工具。

6

在Windows Server 2012 R2上Active Directory域服务的安装不需要添加额外的功能，直接点击“下一步”。

确认选择无误，点击“安装”按钮开始安装。

“Active Directory域服务”安装完成之后，点击“将此服务器提升为域控制器”。如果不慎点了“结束”按钮关闭了向导，也可以在“服务器管理器”中找到，如图所示。

进入“Active Directory域服务配置向导”，部署操作选择“添加新林”并输入根域名，必须使用允许的 DNS 域命名约定。

创建新林，“域控制器选项”页将显示以下选项。

默认情况下，林和域功能级别设置为 Windows Server 2012。

在 Windows Server 2012 域功能级别提供了一个新的功能：“支持动态访问控制和 Kerberos 保护”的 KDC 管理模板策略具有两个需要 Windows Server 2012 域功能级别的设置（“始终提供声明”和“未保护身份验证请求失败”）。

Windows Server 2012 林功能级别不提供任何新功能，但可确保在林中创建的任何新域都自动在 Windows Server 2012 域功能级别运行。除了支持动态访问控制和 Kerberos 保护之外，Windows Server 2012 域功能级别不提供任何其他新功能，但可确保域中的任何域控制器都能运行 Windows Server 2012。

超过功能级别时，运行 Windows Server 2012 的域控制器将提供运行早期版本的 Windows Server 的域控制器不提供的附加功能。例如，运行 Windows Server 2012 的域控制器可用于虚拟域控制器克隆，而运行早期版本的 Windows Server 的域控制器则不能。

创建新林时，默认情况下选择 DNS 服务器。林中的第一个域控制器必须是全局目录 (GC) 服务器，且不能是只读域控制器 (RODC)。

需要目录服务还原模式 (DSRM) 密码才能登录未运行 AD DS 的域控制器。指定的密码必须遵循应用于服务器的密码策略，且默认情况下无需强密码；仅需非空密码。总是选择复杂强密码或首选密码。

安装 DNS 服务器时，应该在父域名系统 (DNS) 区域中创建指向 DNS 服务器且具有区域权限的委派记录。委派记录将传输名称解析机构和提供对授权管理新区域的新服务器对其他 DNS 服务器和客户端的正确引用。由于本机父域指向的是自己，无法进行DNS服务器的委派，不用创建 DNS 委派。

确保为域分配了NetBIOS名称。

“路径”页可以用于覆盖 AD DS 数据库、数据库事务日志和 SYSVOL 共享的默认文件夹位置。默认位置始终位于 %systemroot% 中，保持默认即可。

“审查” 选项页可以用于验证设置并确保在开始安装前满足要求。这不是停止使用服务器管理器安装的最后一次机会。此页只是让你先查看和确认设置，然后再继续配置。

此页面上显示的一些警告包括：

运行 Windows Server 2008 或更高版本的域控制器具有一个用于“允许执行兼容 Windows NT 4 加密算法”的默认设置，在建立安全通道会话时它可以防止加密算法减弱。

无法创建或更新 DNS 委派。

点击“安装”按钮开始安装。

安装完毕之后系统会自动重启，重启之后将以域管理员的身份登录，到此，域控制器配置完毕。